Estoy investigando si puedo alojar múltiples dominios en un servidor a través de HTTPS, pero para cada dominio, tengo un certificado diferente.
En este caso, necesitaría saber el dominio de la conexión entrante, así que en esa primera parte del protocolo de enlace SSL, ¿tendrá la información que necesito para devolver el certificado correcto para ese dominio?
Sí, siempre que el servidor y los clientes admitan la extensión de Indicación de nombre de servidor (SNI). Esta extensión permite el alojamiento virtual para HTTPS, donde tiene múltiples dominios independientes y certificaciones vinculadas a una única dirección IP.
La mayoría de los clientes en estos días son compatibles con SNI. El lugar donde podría tener problemas es si tiene clientes más antiguos que utilizan plataformas como Windows XP, versiones antiguas de Android o Java 6.
Sin SNI, el dominio aparece primero en texto sin cifrar en el saludo del servidor del protocolo de enlace TLS (en el campo de la referencia del certificado).
Con SNI, el dominio aparece primero en texto claro en el saludo del cliente del protocolo de enlace TLS (en el campo SNI).
Fuente: activé apache2 con TLS y tomé capturas de paquetes antes y después de implementar SNI (Hosts virtuales en apache2).
Además de SNI, hay una opción para obtener un certificado de varios dominios. Varios proveedores de certificados ofrecen dichos certificados (sin respaldar a nadie, Google es su amigo).
Con un certificado de varios dominios, no es necesario que conozca el nombre de dominio al comienzo del protocolo de enlace, ya que el certificado es válido para todos los nombres de dominio listados.
A continuación, se muestra un ejemplo de de cómo se ve dicho certificado:
Lea otras preguntas en las etiquetas tls